AZ-104

Deep Dive

D4 · Redes

Grupos de Seguridad de Red

Azure ofrece múltiples capas de seguridad de red: NSG (firewall L4 básico), Azure Firewall (L4-L7 completo), WAF (protección de aplicaciones web) y DDoS Protection. El AZ-104 pone especial énfasis en NSG, ASG y Azure Firewall.

Contenido

NSG — Network Security Groups
ASG — Application Security Groups
Azure Firewall
DDoS Protection
Web Application Firewall (WAF)
Cuándo usar cada servicio

NSG — Network Security Groups

Un Network Security Group (NSG) es un firewall stateful de capa 4 que filtra tráfico TCP/UDP por IP de origen/destino, puerto y protocolo. Se asocia a subredes y/o NICs de VMs.

Anatomía de una regla NSG

Prioridad

100–4096. Menor número = mayor prioridad. Se evalúa en orden ascendente. Primera regla que hace match gana.

Protocolo

TCP, UDP, ICMP, ESP, AH, o * (todos)

Dirección

Inbound o Outbound

Origen/Destino

IP, rango CIDR, Service Tag, o ASG

Puerto

Puerto específico, rango (3389-3390), lista (80,443), o * (todos)

Acción

Allow o Deny

Reglas por defecto (siempre presentes, no eliminables)

65000AllowPermite todo tráfico dentro de la VNet (inbound)

65001AllowPermite health probes del Azure Load Balancer

65500DenyBloquea todo lo demás (inbound)

65000AllowPermite todo tráfico saliente hacia la VNet

65001AllowPermite salida a internet

65500DenyBloquea todo lo demás (outbound)

Conceptos clave para el examen

→ NSG es stateful: si permite entrada en puerto 443, la respuesta saliente se permite automáticamente
→ Puede asociarse a subred (mejor práctica) y/o NIC — ambos se evalúan
→ Una subred o NIC puede tener solo un NSG asociado
→ Un NSG puede asociarse a múltiples subredes/NICs

ASG — Application Security Groups

Los Application Security Groups (ASG) permiten agrupar VMs por rol de aplicación (ej: WebServers, DBServers) y usar esos grupos como origen/destino en reglas NSG — en lugar de IPs individuales.

Esto elimina la gestión manual de IPs: cuando agregas una nueva VM al ASG, las reglas NSG se aplican automáticamente.

Sin ASG — reglas con IPs

Inbound Allow 10.0.0.4 → 10.0.1.5:1433 (SQL)

Inbound Allow 10.0.0.5 → 10.0.1.5:1433 (SQL)

Inbound Allow 10.0.0.6 → 10.0.1.5:1433 (SQL)

→ Añadir nueva web VM = nueva regla manual

Con ASG — reglas semánticas

Inbound Allow ASG:WebServers → ASG:DBServers:1433

→ Añadir nueva web VM = añadirla al ASG WebServers

→ Las reglas se aplican automáticamente

Azure Firewall

Azure Firewall es un firewall de red gestionado PaaS de capa 4-7. A diferencia de los NSG (L4 básico), Azure Firewall puede filtrar por FQDN, categorías web, URL, e inspeccionar el tráfico en profundidad. Se despliega en su propia subred (AzureFirewallSubnet).

Feature	Standard	Premium
Reglas de red (IP/puerto/protocolo)	✓	✓
Reglas de aplicación (FQDN)	✓	✓
FQDN tags (Windows Update, etc.)	✓	✓
Threat Intelligence (bloqueo IPs/dominios maliciosos)	✓	✓
DNS Proxy	✓	✓
Inspección TLS (IDPS)	—	✓
IDPS (Intrusion Detection & Prevention)	—	✓
Filtrado por URL (no solo FQDN)	—	✓
Categorías web	—	✓

Reglas de red

Filtrado L4 por IP origen/destino, protocolo y puerto. Similar a NSG pero centralizado. Procesadas antes que reglas de aplicación.

Reglas de aplicación

Filtrado L7 por FQDN o FQDN tags. Permite controlar qué URLs/dominios pueden ser accedidos desde la VNet hacia internet.

DNAT Rules

Destination NAT — traduce una IP pública del Firewall a una IP privada interna. Útil para exponer servicios internos hacia internet.

DDoS Protection

DDoS Network Protection (Basic → ahora incluido)

Protección básica siempre activa en toda la infraestructura de Azure. Mitiga ataques volumétricos comunes automáticamente.

•Sin costo adicional
•Cobertura básica de ataques de red
•Sin garantías de SLA de mitigación
•Sin reporting ni telemetría detallada

DDoS IP/Network Protection (Standard)

Protección avanzada con políticas de mitigación personalizadas por IP pública, telemetría en tiempo real y SLA garantizado.

•SLA financiero de disponibilidad
•Mitigación adaptativa con ML basada en patrones de tu tráfico
•Alertas y métricas en Azure Monitor en tiempo real
•Acceso a DDoS Rapid Response (soporte de emergencia)
•Se paga por VNet protegida + crédito en caso de impacto confirmado

Web Application Firewall (WAF)

El WAF protege aplicaciones web de ataques OWASP (SQL injection, XSS, CSRF, etc.). Se integra como un feature dentro de otros servicios Azure — no es un servicio standalone.

Application Gateway + WAF

Aplicaciones web en una sola región. WAF delante del backend. Reglas OWASP Core Rule Set (CRS). Modo Detection (solo log) o Prevention (bloquea).

Azure Front Door + WAF

Apps globales multi-región. El WAF está en los PoP de Front Door a nivel global. Protección contra bots, rate limiting, geo-filtering.

Azure CDN + WAF

Protección de contenido estático distribuido globalmente. WAF a nivel CDN para bloquear tráfico malicioso en el edge.

Cuándo usar cada servicio de seguridad

Servicio	Capa	Alcance	Costo	Cuándo usar
NSG	L4	Subred / NIC	Gratis	Filtrado básico TCP/UDP en toda VNet. Siempre usar.
ASG	L4	Subred / NIC	Gratis	Simplificar NSG cuando hay muchos grupos de VMs por rol.
Azure Firewall	L4-L7	VNet completa (hub)	Alto (fijo + datos)	Control centralizado, FQDN filtering, tráfico N-S y E-O.
WAF	L7	Endpoint web específico	Medio	Proteger apps web de ataques OWASP (SQL inject., XSS).
DDoS Standard	L3-L4	IPs públicas / VNet	Alto	Entornos de producción críticos con IPs públicas expuestas.

¿Entendiste este tema?

Pon a prueba lo que acabas de aprender

Tienes tres VMs de aplicación web (10.0.1.4, .5, .6) que deben poder acceder a un servidor SQL (10.0.2.10) en el puerto 1433. Nuevas VMs web se agregarán frecuentemente. ¿Cuál es la mejor forma de configurar el NSG?